(https://i.postimg.cc/Fs8myfzS/linux-security.png) (https://postimages.org/)
Además de la criptominería, la campaña también implica el secuestro de credenciales SSH, la ocultación de conexiones SSH maliciosas y más.
Los investigadores de Microsoft han descubierto una nueva campaña de cryptojacking que aprovecha herramientas personalizadas y de código abierto para apuntar a dispositivos IoT (Internet de las cosas) y sistemas basados en Linux para criptominería (también conocida como minería de criptomonedas).
Los atacantes usan una puerta trasera que puede implementar una amplia gama de "herramientas y componentes", como rootkits y bots de IRC, para robar recursos del dispositivo. Esta puerta trasera instala una versión parcheada de OpenSSH para secuestrar los sistemas de dispositivos afectados e instalar un criptominero.
Una vez hecho esto, los atacantes pueden realizar una variedad de actividades, como moverse lateralmente en la red, secuestrar credenciales SSH y ocultar conexiones SSH maliciosas, además de criptominería.
Los atacantes necesitan secuestrar las credenciales SSH, para lo cual buscan hosts Linux mal configurados. Estos hosts son forzados a obtener acceso inicial. Cuando el dispositivo de destino se ve comprometido, el primer paso es deshabilitar el historial de shell.
El siguiente paso es extraer un paquete OpenSSH troyanizado, "openssh-8.0p1.tgz", desde un servidor remoto. Contiene "código fuente OpenSSH benigno y otros archivos maliciosos", como binarios de puerta trasera para arm4I, arm5I, x86, i568, i686, un script de shell inst.sh y un archivo que contiene el script de shell vars.sh, que tiene todos los archivos necesarios para que funcione la puerta trasera. Después de la instalación de la carga útil, el script inst.sh ejecuta un binario de puerta trasera que coincide con la arquitectura del dispositivo.
La puerta trasera es un script de shell compilado con el Compilador de scripts de shell. Permite a los actores de amenazas distribuir cargas útiles y realizar ataques posteriores a la explotación, como robar y enviar información del dispositivo, así como borrar los registros de Apache, nginx, httpd y del sistema para ocultar sus actividades maliciosas y permanecer sin ser detectados.
Para conservar el acceso SSH, la puerta trasera modifica dos claves públicas en los archivos de configuración de claves autorizadas del sistema para todos los usuarios. Además, esta puerta trasera puede instalar la utilidad de código abierto logtamper para borrar los registros wtmp y utmp que registran las sesiones de inicio de sesión del usuario y los datos de eventos del sistema.
En esta campaña, como declaró el equipo Threat Intel de Microsoft en su publicación de blog, los atacantes utilizan el cryptojacking para instalar un criptominero. En cryptojacking, los recursos informáticos se drenan ilegalmente para generar ingresos. Casi todos los dispositivos, herramientas, servicios e infraestructura de TI, incluido IoT, son vulnerables al criptojacking. Antes de lanzar el minero, se eliminan todos los procesos de criptominería de la competencia.
Además, la puerta trasera ejecuta una versión modificada de un cliente DDoS basado en malware Kaiten llamado ZiggyStarTux que ejecuta comandos bash recibidos del servidor C2 del atacante. Las comunicaciones C2 se establecen a través del subdominio de un instituto financiero del sudeste asiático no identificado para ocultar el tráfico malicioso.
(https://i.postimg.cc/ZRmHnpn7/patched-openssh-exploited-iot-linux-cryptomining.png) (https://postimages.org/)
La puerta trasera determina si el dispositivo es un honeypot probando el acceso al sistema de archivos virtual /proc. Si no puede acceder a él, la puerta trasera sale. Si puede acceder a /proc, extrae los datos del dispositivo, como la versión del sistema operativo y la configuración de la red, etc., y los envía por correo electrónico a una dirección codificada (dotsysadminprotonmailcom) o a la dirección del atacante. Los rootkits de código abierto que puede compilar/descargar/instalar incluyen Reptile y Diamorphine, ambos disponibles en GitHub.
Microsoft insta a los usuarios a mejorar la seguridad de los dispositivos expuestos a Internet garantizando configuraciones seguras, usando contraseñas seguras y actualizando regularmente el firmware. Se debe preferir una VPN para el acceso remoto, y los usuarios siempre deben usar la última versión de OpenSSH.
Fuente:
HackRead
https://www.hackread.com/patched-openssh-exploited-iot-linux-cryptomining/